Le fichier csv contient 133611 lignes et 15 colonnes 

Description des 15 colonnes : 

ID_ANSSI : Identifiant unique attribué par l'ANSSI à chaque alerte
Titre_ANSSI : Titre de l'alerte publié par l'ANSSI
Type : Type de publication (ex : Avis, Bulletin, etc.)
Date_publication : Date de publication de l’alerte
CVE_ID : Identifiant unique de la vulnérabilité (Common Vulnerabilities and Exposures)
CVSS_score : Score CVSS (Common Vulnerability Scoring System)
Base_Severity : Niveau de gravité (Low, Medium, High, Critical)
CWE : Code CWE (Common Weakness Enumeration)
CWE_description : Description du type de vulnérabilité
EPSS_score : Probabilité d'exploitation (Exploit Prediction Scoring System)
Lien_bulletin : Lien vers le bulletin de l’ANSSI
Description : Résumé technique de la vulnérabilité
Editeur : Nom de l’éditeur du produit concerné
Produit : Nom du produit concerné
No description has been provided for this image

On remarque grâce à ce graphique que :

  • La majorité des vulnérabilités sont de niveau HIGH, avec environ 22 000 cas. Cette forte proportion de vulnérabilités élevées indique qu’un grand nombre de failles présentes dans les systèmes peuvent avoir un impact sérieux si elles sont exploitées
  • Le niveau MEDIUM suit avec environ 13 000 vulnérabilités, ce qui reste significatif
  • Les niveaux CRITICAL et LOW sont nettement moins représentés (environ 1 500 cas chacun)

Ce graphique met donc en évidence une forte concentration de failles à impact élevé (HIGH et MEDIUM), ce qui suggère un besoin de vigilance renforcée. De plus, même si les vulnérabilités critiques sont peu nombreuses, elles représentent un risque majeur et nécessitent une priorisation immédiate en matière de correction.

No description has been provided for this image
No description has been provided for this image

Ces deux graphiques mettent en évidence les types de vulnérabilités (CWE) les plus fréquents recensés. On remarque que :

  • CWE-416 (Use After Free) est de loin la plus fréquente, avec près de 8000 cas. Cela indique qu'un grand nombre de logiciels manipulent mal la mémoire après libération. CWE-416 représente à lui seul près de 25 % des vulnérabilités, ce qui confirme sa dominance en termes de volume et d’importance.

  • CWE-122 (Heap-Based Buffer Overflow) et CWE-125 (Out-of-Bounds Read) suivent, avec environ 4700 vulnérabilités chacune. Ces deux vulnérabilités sont liées à des erreurs dans la gestion des tampons mémoire et peuvent conduire à des fuites d'information ou à des corruptions de données.

  • Sur les 10 premières vulnérabilités, la majorité (CWE-416, 122, 125, 476, 787, 190, 191) sont liées à des erreurs de gestion de mémoire : déréférencement de pointeurs nuls, dépassement de tampon, ou arithmétique non sécurisée. Cela souligne que les erreurs de gestion mémoire restent aujourd’hui encore l’un des vecteurs d’attaque les plus répandus et critiques, notamment dans les logiciels bas niveau.

No description has been provided for this image
Statistiques des Scores EPSS:
count    38455.000000
mean         0.015644
std          0.099482
min          0.000050
25%          0.000480
50%          0.000580
75%          0.001310
max          0.975080
Name: EPSS_score, dtype: float64

Nous pouvons voir dans ce graphique que :

  • La majorité des vulnérabilités se situent dans la zone verte (risque faible), comme l'indique le panneau statistique
  • On observe des pics ponctuels dans la zone rouge, signalant des périodes de risque accru
  • La moyenne mobile montre une relative stabilité dans le temps, avec quelques variations notables
No description has been provided for this image

Le premier graphique présente les 10 éditeurs ayant le plus de vulnérabilités recensées. On observe une nette domination de Linux, avec un nombre de vulnérabilités très largement supérieur aux autres (près de 65 000). Cela peut s'expliquer par la nature open source de Linux, qui regroupe de nombreux projets, distributions et contributions communautaires. Ce chiffre ne signifie pas nécessairement que Linux est moins sécurisé, mais plutôt qu’il est très audité et documenté.

Microsoft et Red Hat suivent avec un nombre important de vulnérabilités (respectivement ~24 000 et ~18 000), ce qui peut s’expliquer par leur présence massive dans les environnements professionnels.

Apple, Google, IBM, Oracle, etc., sont également présents mais dans des proportions bien moindres.

La catégorie "Inconnu" montre un manque de qualité dans certains enregistrements de données

Ce graphique est utile pour les équipes de cybersécurité afin de prioriser les audits et les actions de surveillance sur les éditeurs les plus concernés, notamment si leurs produits sont utilisés dans l’organisation.

No description has been provided for this image

Ce graphique met en évidence la corrélation entre deux indicateurs clés des vulnérabilités :

  • le score CVSS, qui mesure la gravité d’une vulnérabilité
  • le score EPSS, qui estime la probabilité d’exploitation de cette faille

On observe ici une corrélation très faible (0.13) entre les deux scores. Seules 13% des variations du score EPSS s’expliquent par le score CVSS.

Cela signifie que :

  • Un score CVSS élevé ne garantit pas forcément une forte probabilité d’exploitation, et inversement.
  • les vulnérabilités les plus graves ne sont pas nécessairement les plus exploitées. En effet, une vulnérabilité avec un score CVSS élevé peut être grave sur le papier mais si elle a un score EPSS faible, cela veut dire qu’elle attire peu l’intérêt des attaquants ou qu’elle est difficile à exploiter en pratique
  • à l’inverse, des vulnérabilités avec un score CVSS moyen peuvent avoir un score EPSS élevé, donc représenter un risque plus concret

Cette heatmap montre qu’il est indispensable d’adopter une approche multi-critères en cybersécurité : gravité + exploitabilité réelle pour une meilleure gestion des vulnérabilités.

Les équipes de sécurité doivent tenir compte des deux dimensions pour évaluer les menaces :

  • Le potentiel de dégâts (CVSS)
  • La probabilité qu’elle soit réellement exploitée (EPSS)

Cette faible corrélation justifie pleinement l’utilisation conjointe de ces deux métriques. Le score EPSS apporte une dimension dynamique et contextuelle, tandis que le CVSS reste une base standardisée de criticité. L’analyse croisée permet donc de mieux prioriser les actions de remédiation.

No description has been provided for this image

Ce nuage de points croise deux dimensions essentielles des vulnérabilités :

  • L’axe horizontal (CVSS) reflète la gravité de la faille
  • L’axe vertical (EPSS) indique la probabilité qu’elle soit activement exploitée

On remarque :

  • Un regroupement de vulnérabilités à haute gravité mais faible EPSS, qui sont graves sur le papier mais peu exploitées
  • Quelques vulnérabilités très critiques (CVSS > 9) et avec un EPSS élevé : ce sont les cas les plus urgents
  • Des vulnérabilités "moyennes" (CVSS autour de 6–7) avec un EPSS fort, qui peuvent être sous-estimées si on regarde uniquement le CVSS

Ce graphique met en lumière l’intérêt d’une approche double : considérer à la fois la gravité théorique et le risque réel d’exploitation pour mieux prioriser les réponses de sécurité. Il permet de repérer immédiatement les vulnérabilités prioritaires : celles en haut à droite (score CVSS et EPSS élevés)

No description has been provided for this image

Cette courbe illustre l’évolution dans le temps du nombre cumulé de vulnérabilités (CVE) recensées

On observe :

  • Une périodes stable entre 2021 et 2023, avec peu de nouvelles vulnérabilités enregistrées
  • Une roissance accélérée à partir de début 2024, indiquant une hausse notable du nombre de vulnérabilités publiées ou détectées
  • Un effet d’escalade courant 2024–2025 : les vulnérabilités sont désormais publiées beaucoup plus fréquemment, traduisant :
    • une meilleure détection par les outils de cybersécurité
    • une augmentation réelle des failles dans les systèmes
    • ou une multiplication des publications (ex. bulletins ANSSI, publications CERT, ...)

Ce graphique nous permet de :

  • Suivre l’évolution de la menace dans le temps
  • Anticiper les pics de charge pour les équipes sécurité
  • Justifier l’adaptation des ressources en cybersécurité face à une hausse continue des risques

Il montre qu’on ne peut plus se contenter de gérer les vulnérabilités "à l’ancienne" : il faut des processus de veille, d’automatisation et de priorisation pour suivre le rythme, car les failles ne cessent de se multiplier

No description has been provided for this image
No description has been provided for this image

Le premier graphique montre la distribution des scores CVSS pour les vulnérabilités liées à la faiblesse CWE-444. On y observe une concentration majoritaire autour de scores modérés à élevés (entre 5.5 et 7.5), ce qui indique que ce type de vulnérabilité est généralement considéré comme sérieux, sans atteindre le niveau critique. Cela souligne une certaine constance dans la gravité perçue des failles associées à ce CWE.

Le second graphique compare les scores CVSS à leur score EPSS, c’est-à-dire leur probabilité réelle d’exploitation. On constate que malgré des scores CVSS parfois élevés, les scores EPSS restent très faibles (souvent proches de 0). Cela signifie que les vulnérabilités de type CWE-444, bien que potentiellement graves en théorie, sont peu exploitées dans la pratique.

=> Les vulnérabilités de type CWE-444 sont systématiquement prises au sérieux en termes de gravité, mais elles présentent un risque opérationnel limité du point de vue de l’exploitabilité. Cela justifie de les corriger à terme, sans les prioriser face à d’autres failles avec un EPSS plus élevé.

No description has been provided for this image

Ce graphique montre une hausse très marquée du nombre de vulnérabilités publiées à partir de la fin 2023.

Jusqu’en 2022, le volume restait relativement bas et stable, avec moins de 200 vulnérabilités signalées par mois. À partir de 2024, on observe une accélération brutale des publications, atteignant des pics mensuels supérieurs à 3 000 vulnérabilités.

Cette évolution peut s’expliquer par plusieurs facteurs :

  • une amélioration des systèmes de détection et de signalement
  • une augmentation réelle des failles découvertes, liée à l’élargissement des surfaces d’attaque (cloud, IoT, ...)
  • ou encore une meilleure transparence des éditeurs, publiant désormais davantage de bulletins

La forte instabilité dans les valeurs mensuelles récentes montre que l’exposition varie fortement selon les périodes. Cela souligne l’importance pour les équipes cybersécurité de mettre en place une veille continue, réactive et adaptée aux périodes de pic.

No description has been provided for this image

Le graphique met en évidence les dix versions les plus fréquemment ciblées par des vulnérabilités

On remarque que toutes les versions du Top 10 sont issues de Microsoft, ce qui confirme la forte concentration des vulnérabilités sur les produits Microsoft, déjà visible dans d'autres visualisations

On y observe une forte concentration sur des éditions de Windows 10, en particulier les versions 10.0.17763.0, 10.0.14393.0 et 10.0.22631.0, ce qui montre que même les versions encore supportées et largement déployées sont régulièrement exposées à des failles critiques.

À cela s’ajoute la présence de versions obsolètes telles que Windows 7 (6.1.7601.0), Windows 8 (6.2.9200.0), ou Windows Vista (6.0.6003.0), qui, bien que théoriquement retirées du parc actif, semblent encore référencées dans les bulletins de sécurité, soulignant un risque accru dans les environnements non mis à jour.

Cette distribution des vulnérabilités rappelle la nécessité de maintenir une politique de mise à jour stricte sur les systèmes récents, et d’éradiquer les systèmes non supportés, qui constituent des cibles privilégiées pour les attaquants. Ce type de visualisation permet aux équipes IT de repérer les versions à haut risque, soit à cause de leur ancienneté, soit de leur popularité, soit d’un manque de correctifs à jour. Cela aide à prioriser les migrations vers des versions plus récentes et mieux sécurisées.

No description has been provided for this image

Par rapport au volume par éditeur, nous remarquons que :

  • Linux domine largement en nombre total de bulletins
  • Microsoft et Red Hat suivent avec un volume significatif mais nettement inférieur
  • Les autres éditeurs présentent des volumes plus modestes

Pour les types de bulletins :

  • La grande majorité des bulletins sont des “Avis”, représentant des vulnérabilités signalées sans urgence particulière
  • Le nombre d’alertes (bulletins plus urgents ou critiques) est extrêmement faible comparé aux avis, ce qui montre que peu de vulnérabilités font l'objet d'une alerte ANSSI
  • Microsoft est l’éditeur ayant le plus grand nombre d’alertes dans ce top 10, bien que cela reste minime en proportion

Ce graphique illustre bien que la majorité des vulnérabilités sont communiquées via des avis standards, et non des alertes critiques La présence majoritaire de Linux et Red Hat pourrait refléter une transparence accrue des projets open source ou un suivi rigoureux des failles connues L’outil est utile pour cibler les éditeurs à surveiller et identifier ceux qui sont les plus concernés par des bulletins d’alerte, nécessitant potentiellement une priorisation dans la gestion des correctifs

No description has been provided for this image

Ce boxplot permet de visualiser la répartition des scores CVSS (niveau de gravité des vulnérabilités) pour les 10 éditeurs les plus concernés.

Nous voyons que :

  • Les points isolés (outliers) montrent la présence de failles atypiques, soit très faibles, soit très critiques
  • La majorité des vulnérabilités se situent dans la plage 5.0-8.0
  • Les scores très bas (<3.0) sont rares pour tous les éditeurs
  • Les scores critiques (>9.0) sont plus fréquents chez Microsoft et Oracle

On remarque aussi que :

  • Microsoft a :

    • une médiane élevée (autour de 8), indiquant une majorité de failles graves
    • Beaucoup d'outliers vers le bas (failles moins graves)
    • Distribution asymétrique : Microsoft gère aussi bien des failles critiques que mineures Cela peut refléter une politique de publication large.
  • Linux a :

    • une distribution étendue, avec un score max à 10 et un minimum assez bas (~3,5)
    • une médiane légèrement entre 7 et 8, traduisant une forte proportion de failles sévères
  • Oracle Corporation et Siemens ont une médiane plus basse et une forte concentration de scores entre 4 et 7, ce qui suggère que ses failles sont plus souvent de gravité modérée

Ce graphique permet de comparer rapidement la gravité des vulnérabilités entre éditeurs. Il met en évidence :

  • les éditeurs qui cumulent des failles critiques fréquentes (Microsoft, Linux, Red Hat)
  • ceux qui sont plus exposés à des failles modérées (Oracle, Siemens)
  • et les éditeurs avec une grande hétérogénéité dans la gravité (Microsoft notamment)
No description has been provided for this image

Ce graphique représente le nombre de vulnérabilités publiées chaque mois pour les 4 éditeurs les plus affectés : Linux, Microsoft, Red Hat et Siemens. On observe que :

  • Linux :
    • Très forte hausse des vulnérabilités signalées à partir du 2ᵉ semestre 2023
    • Plusieurs pics mensuels dépassant les 5000 vulnérabilités, dont un record autour de août 2024

Cela peut indiquer une augmentation massive des signalements liés à des composants Linux ou un rattrapage de publication d’anciennes vulnérabilités, voire une politique de transparence accrue.

  • Microsoft :
    • Courbe plus stable mais fluctuante
    • Quelques pics localisés (notamment début 2024), avec jusqu’à 3000 vulnérabilités/mois

Montre une présence constante dans les publications de failles

  • Red Hat :
    • Progression régulière à partir de mi-2023, culminant autour de 1800 vulnérabilités/mois
    • Ensuite, la tendance semble redescendre ou se stabiliser

Cela reflète probablement une meilleure détection des failles dans les versions récentes

  • Siemens :
    • Volumes bien plus modérés
    • Tendance globale stable, sans pics marqués

Indique un rythme plus régulier et contenu des publications de failles.

Le graphique montre que Linux domine largement en volume depuis 2024, comme nous l'avons vu dans nos analyses précédentes. De plus, les vulnérabilités ne sont pas réparties de façon homogène dans le temps, certaines périodes concentrent une part importante des signalements. Ce type de visualisation est utile pour anticiper les périodes de charge pour les équipes de cybersécurité, prioriser les éditeurs à surveiller ou adapter la veille selon les pics de publication.

Erreur récupération date pour CVE-2022-24921: HTTPSConnectionPool(host='cveawg.mitre.org', port=443): Read timed out. (read timeout=10)
No description has been provided for this image
Moyenne du délai : 132.45 jours
Médiane : 49.0 jours
Minimum : 0.0 jours
Maximum : 1471.0 jours

Ce graphique illustre la répartition du délai (en jours) entre la date de publication officielle d’une vulnérabilité (CVE) et sa publication par l’ANSSI sous forme d’alerte ou d’avis. L’analyse porte ici sur un échantillon de 1 000 vulnérabilités uniques.

On remarque ici que :

  • La majorité des CVE sont publiées par l’ANSSI dans un délai court, généralement inférieur à 100 jours

  • On observe un pic important autour de 0 à 50 jours, indiquant que de nombreuses vulnérabilités sont traitées assez rapidement

  • Le nombre de publications chute rapidement au-delà de 200 jours

  • Quelques cas isolés dépassent les 1 000 jours, révélant des délai exceptionnellement longs pour certains cas particuliers

Statistiques issues de l’échantillon :

  • Moyenne du délai : 132,45 jours : En moyenne, il s’écoule un peu plus de 4 mois entre la publication d’un CVE et sa diffusion par l’ANSSI

  • Médiane : 49 jours : La moitié des vulnérabilités sont publiées par l’ANSSI en moins de 49 jours. Cela montre que la plupart des cas sont traités rapidement, malgré une moyenne tirée vers le haut par quelques délais très longs

  • Délai minimum : 0 jour : Certaines vulnérabilités sont publiées immédiatement ou le même jour que leur CVE officiel. Cela reflète une bonne réactivité dans les cas critiques ou médiatisés

  • Délai maximum observé : 1 471 jours : Soit plus de 4 ans de décalage. Cela concerne probablement des vulnérabilités anciennes, redécouvertes, reclassées, ou dont le contexte a changé (par exemple, des exploits rendus publics tardivement)

La forte différence entre la médiane (49 jours) et la moyenne (132 jours) indique une distribution asymétrique : La majorité des alertes sont publiées rapidement mais quelques cas extrêmes allongent significativement la moyenne.

Ce graphique peut être utile pour mesurer la réactivité globale de l’ANSSI et identifier les cas exceptionnels qui mériteraient une enquête complémentaire (retard de coordination, faille jugée mineure puis réévaluée…)

Le graphique présente une vue 3D croisant les scores de gravité (CVSS), d’exploitabilité (EPSS) et les éditeurs les plus fréquemment associés à des vulnérabilités.

On remarque que plusieurs éditeurs, comme Microsoft, Linux, Google ou Cisco, concentrent un grand nombre de failles, souvent avec des scores de gravité élevés. Cela reflète leur présence massive dans les systèmes d’information et la complexité de leurs environnements logiciels.

Certains éditeurs affichent des vulnérabilités à fort score CVSS mais faible EPSS, ce qui peut traduire des failles critiques sur le papier mais moins activement exploitées en pratique.

À l’inverse, on observe quelques cas où CVSS et EPSS sont élevés, signalant des vulnérabilités à fort impact et fortement exploitables, donc prioritaires à corriger.

Cette représentation permet de : • Visualiser les éditeurs les plus exposés dans leur ensemble, • Identifier les failles les plus dangereuses, • Et aider les équipes sécurité à mieux cibler leurs actions de remédiation en fonction de la gravité réelle des menaces.

L’évolution mensuelle met en évidence des pics irréguliers de vulnérabilités critiques. Les failles hautes et moyennes restent constantes, témoignant d’une pression sécuritaire continue. Les failles faibles sont marginales, ce qui reflète une sélection des bulletins orientée vers l’urgence. L’analyse souligne la nécessité de surveiller les tendances mensuelles pour anticiper les périodes à fort impact.